Erstaunliches OLG-Urteil zu Behörden und Cloud-Unternehmen in den USA

Das Urteil erlaubt deutschen Behörden, Tochtergesellschaften von US-Cloudanbietern zu beauftragen, wenn diese eine Datenverarbeitung in Deutschland zusichern und nachweisen können.

Erst vor kurzem schilderten wir hier das „hessische Modell“ zur Videokonferenz-Praxis einiger Hochschulen im Sinne des Datenschutzes. Dieses „hessische Modell“ ist ein technologisch und organisatorisch anspruchsvoller Kompromiss. Nun ist das Oberlandesgericht (OLG) Karlsruhe noch einen bedeutsamen Schritt weitergegangen.

Initiative der Vergabekammer Baden-Württemberg

Wenn die öffentliche Hand in Baden-Württemberg Aufträge vergibt, muss dies von der dortigen Vergabekammer abgesegnet werden. Diese hatte zwei kommunalen Krankenhausgesellschaften untersagt, Clouddienste aus den USA mit Datenmanagement-Aufgaben zu beauftragen. Die Krankenhäuser würden sich sonst dem Risiko aussetzen, dass persönliche Daten aus Deutschland in die Hände von amerikanischen Behörden gelangen könnten. In der Konsequenz wären damit in Zukunft alle Verbindungen von öffentlichen Auftraggebern, wie Verwaltungsbehörden, Krankenhäusern oder Schulen, gekappt worden. Ob Microsoft, Google oder Amazon Web Services – keine öffentliche Einrichtung in Deutschland könnte dann einen dieser und weiterer transatlantischer Dienste nutzen. Das Oberlandesgericht hat genau das akribisch überprüft und die generelle Ablehnung der Vergabekammer nun für unrechtens erklärt.

Grundsätzlich sollte von der Vertragseinhaltung ausgegangen werden

Die Richter vertreten die Ansicht, dass sich Behörden grundsätzlich darauf verlassen können, wenn Cloudanbieter bindend zusagen, dass Daten europäischer Bürger ausschließlich auf Servern landen, die in Deutschland oder auf dem Gebiet eines EU-Staates stehen. Man müsse im Grundsatz davon ausgehen, dass Bieter ihre vertraglichen Zusagen erfüllen werden. Nur bei konkret begründetem Zweifel sollten öffentliche Auftraggeber den Fall prüfen und weitere Informationen einholen. Bundesbehörden und -institutionen haben nach diesem wegweisenden Urteil nach einhelligem Bekunden aufgeatmet. Aber auch Datenschützer waren mit der OLG-Entscheidung zufrieden. Denn mit dieser Entscheidung können Behörden fortan günstigere Dienstleistungen einkaufen und auf viel bisher geleistetes Eigen-Engagement verzichten.

Den Unterschied machen die Tochterunternehmen aus, den die US-Firmen als Folge des Schrems-II-Urteils des Europäischen Gerichtshofs beinahe alle in der EU gegründet haben. Dort – und nicht in den USA – stehen auch die Server, auf denen schützenswerte Daten gespeichert werden. Der baden-württembergischen Vergabekammer war aber auch das ein Dorn im Auge. Sie sah ein „latentes Risiko“, das sich „jederzeit realisieren“ könne. Nicht ein klar nachgewiesener Verstoß gegen den europäischen Datenschutz, sondern dessen bloße, aber unbegründete Möglichkeit stand im Raum. Das war den Richtern zu global beurteilt. Denn ein „latentes Risiko“ ist nicht schwerwiegend genug für einen generellen Verdacht.

Kommunikation „wie bei der Mafia“

Ähnlich wie es sich im aktuellen Fall bei den Krankenhäusern darstellt, gab es die Pauschallverdächtigungen bereits bei zahlreichen Schulen. So gab es viele Beispiele dafür, dass Schulleiter aufgefordert worden waren, einen Beweis darüber zu führen, dass beispielsweise von der Schule genutzte Microsoft-Dienste nicht von Microsoft in den USA im Widerspruch zu hiesigem Datenschutzrecht verarbeitet würden. Dieser Konjunktiv, so wurde von der Lehrerschaft moniert, galt und gelte für kein anderes digitales Produkt. Ein Bericht spricht sogar von einer behördlichen „Kommunikation wie bei der Mafia“. Dieser Entzweiung hat das maßvolle und praxisorientierte OLG-Urteil nun ein Ende gemacht. Viele Datenschützer begrüßten es vor allem deshalb, weil sie selbst lieber ein konstruktiv-pragmatisches Herangehen an die von Schrems II aufgeworfene Datenschutz-Barriere fordern. Das aktuelle Urteil liefert ein Beispiel dafür, dass Datenschutz und pragmatisches Handeln sich nicht unbedingt ausschließen müssen.